Detetado malware dirigido a servidores Linux

Apelidado de “SpeakUp”, o novo Trojan explora vulnerabilidades em seis diferentes distribuições de Linux e tem como target os servidores de todo o mundo, incluindo as AWS hosted machines. 

O SpeakUp atua através da propagação interna entre a sub-rede infetada e através de novos endereços IP, aproveitando a execução de vulnerabilidades de código remoto. Além disso, o SpeakUp apresenta capacidades para infetar dispositivos Mac sem deixar rasto.

A verdadeira identidade do ator por detrás deste novo ataque ainda não está confirmada, no entanto, a equipa de investigação da Check Point conseguiu relacionar o autor do SpeakUp com o criador do malware Zettabit. Apesar do SpeakUp ter sido implementado de maneira diferente, existe muito em comum com a criação e desenho do já conhecido Zettabit.

O vetor inicial da infeção tem como objetivo a última vulnerabilidade conhecida em ThinkPHP e utiliza técnicas de injeção de comandos para carregar um interprete de comandos PHP, com o objetivo de executar um Backdoor Perl.

O processo consiste em três passos: aproveitar a vulnerabilidade CV-2018-20062 para carregar o interprete de comandos PHP, instalar o backdoor e, finalmente, executar o malware. 

A partir do momento em que o SpeakUp se regista com o C&C (Centro de Comandos e Controlo) são enviadas novas tarefas, a grande maioria centradas em fazer o download e executar diferentes documentos. Um dos pontos a destacar diz respeito aos User-Agents que utilizam SpeakUp. Este malware utiliza três tipos diferentes, dois dos quais são MacOS, que o dispositivo infetado debe utilizar em toda a comunicação C&C. Atualmente, o SpeakUp utiliza mineradores XMRig nos servidores infetados e, segundo a XMRHunter, as carteiras eletrónicas afetadas contam com um total de 107 moedas Monero, aproximandamente. 

Por outro lado, as cargas ofuscadas e a técnica de propagação do SpeakUp revelam que existe uma maior ameaça, escondida por detrás deste malware. Além disso torna-se difícil de acreditar que alguém possa chegar a construir um conjunto de cargas úteis tão complexo com o objetivo de instalar alguns mineiros de criptomoeda. Por isso, esse facto convida a pensar que a pessoa por de trás desta campanha pode, a qualquer momento, disseminar cargas úteis adicionais que sejam potencialmente mais intrusivas e ofensivas. 

Assim tem a capacidade de monitorizar a rede circundante de um servidor infectado e distribuir o malware. Portanto, ainda que esta ameaça seja relativamente recente, tem a capacidade de se converter em algo maior e potencialmente mais nocivo.